Trace Id is missing

Väljapressimisel põhinev majandus

Valge labürint värviliste ringide ja täppidega

Ajakirja „Cyber Signals“ 2. väljaanne: lunavara uus tegevusmudel

Kuigi lunavara on jätkuvalt haarav teema, juhib seda küberkuritegevuse majanduse sektorit suhteliselt väike ühendatud ökosüsteem. Küberkuritegevuse majanduse spetsialiseerumine ja konsolideerumine on soodustanud lunavara kui teenuse (RaaS) muutumist domineerivaks ärimudeliks, mis võimaldab laiemal hulgal kurjategijatel, olenemata nende tehnilistest teadmistest, võtta lunavara kasutusele.
Üle 80 protsendi lunavararünnetest on võimalik jälgida tänu tarkvara ja seadmete tavapärastele konfiguratsioonivigadele.1

Vaadake Cyber Signalsi digitaalset infoülevaadet, kus Microsofti turbeteenuse osakonna asepresident Vasu Jakkal intervjueerib ohuluure tippeksperte lunavaramajanduse ja selle kohta, kuidas organisatsioonid saavad aidata end kaitsta.

Digitaalne infoülevaade: Enda kaitsmine lunavaramajanduse eest

Uus ärimudel pakub kaitsjatele värskeid ülevaateid

Nii nagu paljud tööstused on tõhususe huvides nihkunud lühiajalise tööjõu poole, rendivad või müüvad küberkurjategijad osa kasumi eest oma lunavaratööriistu, selle asemel, et ründeis ise sooritada.

Launavara kui teenus võimaldab küberkurjategijatel osta juurdepääsu lunavara kasulikele koormustele ja andmeleketele ning maksete taristutele. Lunavara „jõugud“ on tegelikkuses RaaS-i programmid nagu Conti või REvil, mida kasutavad paljud erinevad küberohustajad, kes lülituvad RaaS-i programmide ja kasulike koormuste vahel.

RaaS alandab sisenemisbarjääri ja hägustab lunavara taga olevate ründajate isikud. Mõnel programmil on 50+ „sidusettevõtet“, kuna need viitavad nende teenuse kasutajatele, kellel on erinevad tööriistad, tööviisid ja eesmärgid. Nii nagu igaüks, kellel on auto, võib pakkuda sõidujagamisteenust, võivad selle majandusega liituda kõik, kellel on sülearvuti ja krediitkaart, kes soovivad tumedast veebist läbitungimise testimise tööriistu või valmispahavara otsida.

See küberkuritegevuse industrialiseerimine on loonud spetsiaalsed rollid, nagu juurdepääsu vahendajad, kes müüvad juurdepääsu võrkudele. Üks turbemurre hõlmab sageli mitut küberkurjategijat sissetungi erinevates etappides.

RaaS-i komplekte on tumeveebis lihtne leida ja neid reklaamitakse samamoodi, nagu reklaamitakse kaupu üle interneti.

RaaS-i komplekt võib sisaldada klienditeeninduse tuge, komplekteeritud pakkumisi, kasutajate ülevaateid, foorumeid ja muid funktsioone. Küberkurjategijad võivad maksta RaaS-i komplekti eest kindlat hinda, samal ajal kui teised grupid, kes müüvad RaaS-i sidusettevõtte mudeli alusel, võtavad protsendi kasumist.

Lunavararünded hõlmavad otsuseid, mis põhinevad võrkude konfiguratsioonidel ja erinevad iga ohvri puhul isegi siis, kui lunavara kasulik koormus on sama. Lunavara kulmineerub ründega, mis võib hõlmata andmete väljafiltreerimist ja muid mõjusid. Küberkuritegeliku majanduse omavahel seotud olemuse tõttu võivad näiliselt mitteseotud sissetungid üksteisele tugineda. Infostealeri pahavara, mis varastab paroole ja küpsiseid, käsitletakse vähem rangelt, kuid küberkurjategijad müüvad neid paroole muude rünnete võimaldamiseks.

Need ründed järgivad algse juurdepääsu malli pahavaraga nakatamise või haavatavuse ärakasutamise kaudu, seejärel identimisteabevarguse kaudu, et tõsta privileege ja liikuda külgsuunas. Industrialiseerimine võimaldab ilma keerukuse või kõrgetasemeliste oskusteta ründajatel sooritada viljakaid ja mõjukaid lunavararündeid. Pärast Conti sulgemist oleme täheldanud lunavaramaastikul nihkeid. Mõned sidusettevõtted, kes juurutasid Conti, liikusid kasulikele koormustele väljakujunenud RaaS-i ökosüsteemidest, nagu LockBit ja Hive, samas kui teised juurutavad samaaegselt kasulikke koormusi mitmest RaaS-i ökosüsteemist.

Uued RaaS-id, nagu QuantumLocker ja Black Basta, täidavad Conti seiskamisest tekkinud vaakumi. Kuna suurem osa lunavara levialast keskendub küberohustajate asemel kasulikele koormustele, ajab see kasuliku koormuse vahetamine tõenäoliselt valitsused, õiguskaitseorganid, meedia, turbeteadlased ja kaitsjad segadusse, kes on rünnete taga.

Lunavarast aruandlus võib tunduda lõputu skaleerimisprobleemina; tegelikkuses on aga piiratud kogum ohustajaid, kes kasutavad seda tehnikat.

Soovitused:

  • Pöörake tähelepanu identimisteabe kasutuse hügieenile: Töötage välja õigustel põhinev loogiline võrgusegmentimine, mille saab külgliikumise piiramiseks kasutusele võtta füüsilise võrgusegmentimise kõrval.
  • Auditeerige identimisteabe riskile avatust: Identimisteabe riskile avatuse auditeerimine on lunavararünnete ja üldisemalt kogu küberkuritegevuse ärahoidmiseks väga oluline. IT-turbemeeskonnad ja SOC-d saavad koostöös administraatori privileege vähendada ja identimisteabe avaldamise taset mõista.
  • Vähendage ründepinda. Lunavararünnetes sagedamini kasutatavate ründetehnikate tõkestamiseks võtke kasutusele ründepinnavähenduse reeglid. Mitme lunavaraga seotud rühmituse rünnete vaatlemisel oleme märganud, et selgelt määratetud reeglitega organisatsioonides on suudetud ründed kahjutustada juba algjärgus, hoides ära ründajate enda sekkumise.

Küberkurjategijad lisavad ründestrateegiale topeltväljapressimist

Lunavara eesmärk on ohvrilt raha välja pressida. Enamik praeguseid RaaS-i programme lekitab ka varastatud andmeid, mida nimetatakse topeltväljapressimiseks. Kuna katkestused põhjustavad tagasilööke ja valitsuse häired lunavaraoperaatorite töös suurenevad, loobuvad mõned rühmad lunavarast ja tegelevad andmete väljapressimisega.

Kaks väljapressimisele keskendunud rühma on DEV-0537 (teise nimega LAPSUS $) ja DEV-0390 (endine Conti sidusettevõte). DEV-0390 sissetung saab alguse pahavarast, kuid kasutab andmete väljafiltreerimiseks ja maksete väljapressimiseks seaduslikke tööriistu. Nad kasutavad läbitungimise testimise tööriistu, nagu Cobalt Strike, Brute Ratel C4 ja legitiimset Atera kaughaldusutiliiti, et säilitada juurdepääs ohvrile. DEV-0390 suurendab privileege, varastades identimisteavet, otsib tundlikke andmeid (sageli ettevõtte varundus- ja failiserverites) ja saadab andmed failide varundusutiliidi abil pilvefailide jagamise saidile.

DEV-0537 kasutab väga erinevat strateegiat ja tööviisi. Esialgne juurdepääs saadakse, ostes volikirjad kuritegelikust põrandaalusest asutusest või sihtorganisatsioonide töötajatelt.

Probleemid

  • Varastatud paroolid ja kaitsmata identiteedid
    Ründajad vajavad edu saavutamiseks rohkem kui pahavara. Peaaegu kõigi edukate lunavarajuurutuste korral saavad ründajad juurdepääsu privilegeeritud administraatoritaseme kontodele, mis annavad laia juurdepääsu organisatsiooni võrgule.
  • Puuduvad või keelatud turbetooted
    Peaaegu iga vaadeldud lunavarajuhtumi korral olid vähemalt ühes ründes ära kasutatud süsteemis turbetooted puudu või valesti konfigureeritud, mis võimaldasid sissetungijal teatud kaitseid rikkuda või keelata.
  • Valesti konfigureeritud või väärkasutatud rakendused
    Võite kasutada mõnda populaarset rakendust ühel eesmärgil, kuid see ei tähenda, et kurjategijad ei saaks seda muul eesmärgil kasutada. Liiga sageli tähendavad pärandkonfiguratsioonid, et rakendus on vaikeolekus, võimaldades kõikidele kasutajatele juurdepääsu kogu organisatsioonile. Ärge jätke seda ohtu kahe silma vahele ega kõhelge häirete kartuses rakenduse seadete muutmises.
  • Aeglane paikamine
    See on klišee, nagu „Sööge oma köögivilju!“ – aga see on olulise tähtsusega fakt: Parim viis tarkvara tugevdamiseks on seda ajakohastada. Kuigi mõned pilvepõhised rakendused värskendatakse ilma kasutaja tegevuseta, peavad ettevõtted viivitamatult rakendama teisi tarnija paiku. 2022. aastal märgib Microsoft, et vanemad haavatavused on endiselt rünnete peamine põhjus.
  • Varastatud paroolid ja kaitsmata identiteedid
    Ründajad vajavad edu saavutamiseks rohkem kui pahavara. Peaaegu kõigi edukate lunavarajuurutuste korral saavad ründajad juurdepääsu privilegeeritud administraatoritaseme kontodele, mis annavad laia juurdepääsu organisatsiooni võrgule.
  • Puuduvad või keelatud turbetooted
    Peaaegu iga vaadeldud lunavarajuhtumi korral olid vähemalt ühes ründes ära kasutatud süsteemis turbetooted puudu või valesti konfigureeritud, mis võimaldasid sissetungijal teatud kaitseid rikkuda või keelata.
  • Valesti konfigureeritud või väärkasutatud rakendused
    Võite kasutada mõnda populaarset rakendust ühel eesmärgil, kuid see ei tähenda, et kurjategijad ei saaks seda muul eesmärgil kasutada. Liiga sageli tähendavad pärandkonfiguratsioonid, et rakendus on vaikeolekus, võimaldades kõikidele kasutajatele juurdepääsu kogu organisatsioonile. Ärge jätke seda ohtu kahe silma vahele ega kõhelge häirete kartuses rakenduse seadete muutmises.
  • Aeglane paikamine
    See on klišee, nagu „Sööge oma köögivilju!“ – aga see on olulise tähtsusega fakt: Parim viis tarkvara tugevdamiseks on seda ajakohastada. Kuigi mõned pilvepõhised rakendused värskendatakse ilma kasutaja tegevuseta, peavad ettevõtted viivitamatult rakendama teisi tarnija paiku. 2022. aastal märgib Microsoft, et vanemad haavatavused on endiselt rünnete peamine põhjus.

Toimingud

  • Autentige identiteedid Jõustage kõikidel kontodel mitmikautentimine (MFA), seadke prioriteediks administraatori- ja muud tundlikud rollid. Hübriidse tööjõuga töötamisel nõudke MFA-d kõigis seadmetes, kõigis asukohtades ja kogu aeg. Lubage seda toetavate rakenduste jaoks paroolivaba autentimist (nt FIDO võtmed või Microsoft Authenticator).
  • Tegelge turbenõrkustega
    Nagu suitsuandurid, tuleb ka turbetooted paigaldada õigetesse ruumidesse ja neid sageli testida. Veenduge, et turbetööriistad töötaksid kõige turvalisemas konfiguratsioonis ja et ükski võrgu osa poleks kaitsmata.
  • Tugevdage internetiühendusega ressursse
    Kaaluge dubleerivate või kasutamata rakenduste kustutamist, et kõrvaldada riskantsed ja kasutamata teenused. Pidage meeles, kus lubate kaugtoe rakendusi, nagu TeamViewer. Need on kurikuulsad küberohustajate sihtmärgid, et saada kiiret juurdepääsu sülearvutitele.
  • Süsteemide ajakohasuse tagamine
    Muutke tarkvara inventuur pidevaks protsessiks. Jälgige oma tegevust ja seadke nende toodete tugi prioriteediks. Kasutage oma võimalust kiiresti ja täielikult teha kindlaks, kus pilvepõhistele teenustele üleminek on kasulik.

Tuleb mõista identiteetide ja usaldussuhete omavahelise seotuse olemust kaasaegsetes tehnoloogiaökosüsteemides, need on suunatud telekommunikatsioonile, tehnoloogiale, IT-teenustele ja toetavad ettevõtteid, et võimendada juurdepääsu ühele organisatsioonile, et pääseda partnerite või tarnijate võrkudesse. Ainult väljapressimisründed näitavad, et võrgukaitsjad peavad vaatama kaugemale lõppstaadiumis lunavarast ning jälgima hoolikalt andmete väljafiltreerimist ja külgsuunalist liikumist.

Kui küberohustaja kavatseb organisatsioonilt midagi välja pressida, et see saaks hoida oma andmed privaatselt, on lunavara kasulik koormus ründestrateegia kõige vähem oluline ja kõige vähem väärtuslikum osa. Lõppkokkuvõttes on see operaatori valik, mida ta otsustab kasutusele võtta, ja lunavara ei ole alati suur preemia, mida küberohustaja jahib.

Kuigi lunavara või topeltväljapressimine võib tunduda kogenud ründaja ründe vältimatu tagajärg, on lunavara välditav katastroof. Ründajate turvanõrkustele tuginemine tähendab, et investeeringud küberhügieeni on ulatuslikud.

Microsofti ainulaadne nähtavus annab meile ülevaate küberohustajate tegevusest. Selle asemel, et loota foorumipostitustele või vestlusleketele, uurib meie turbeekspertide meeskond uusi lunavara taktikaid ja arendab ohuteavet, mis annab teavet meie turbelahendustest.

Integreeritud ohukaitse seadmete, identiteedi, rakenduste, e-posti, andmete ja pilve vahel aitab meil tuvastada ründeid, mida oleks tähistatud kui mitme ohustajaga, kuigi tegelikult on tegemist ühe küberkurjategijate grupiga. Meie tehnilistest, juriidilistest ja äriekspertidest koosnev digitaalkuritegude üksus jätkab koostööd õiguskaitseorganitega, et takistada küberkuritegevust

Soovitused:

Tugevdage pilve. Kuna ründajad sihivad aina sagedamini just pilvressursse, on oluline lisaks kohapealsetele kontodele kaitsta ka neid ressursse ja identiteete. Turbemeeskonnad peaksid keskenduma turbeidentiteetide taristu tugevdamisele, jõustama mitmikautentimise (MFA) kõigil kontodel ning kasutama pilv- ja rentnikukeskkonna administraatorite jaoks domeeniadministraatoritega samal tasemel turbe- ja identimisteabe hügieeni.
Esmase juurdepääsu takistamine: Ennetage koodi käivitamist, hallates makrosid ja skripte ning lubades ründepinna vähendamise reeglid.
Sulgege turbenõrkused: Organisatsioonid peaksid veenduma, et nende turbetööriistad töötaksid optimaalse konfiguratsiooniga, ja võrku regulaarselt kontrollima, et tagada turbetoodete kaitse kõigis süsteemides.

Microsoftil on põhjalikud soovitused asukohas  https://go.microsoft.com/fwlink/?linkid=2262350.

Kuulake ohuteabeanalüütikult Emily Hackerilt, kuidas tema meeskond püsib kursis muutuva lunavara kui teenuse maailmaga.

Microsofti digikuritegevusevastane üksus (DCU):
Juhtis 2021. aasta juulist 2022. aasta juunini enam kui 531 000 unikaalse andmepüügi URL-i ja 5400 andmepüügikomplekti eemaldamist, mille tulemusel tuvastati ja suleti enam kui 1400 pahatahtlikku meilikontot, mida kasutati klientide varastatud identimisteabe kogumiseks.1
Meiliohud:
Andmepüügimeili ohvriks langemise korral kulub ründajal teie privaatandmetele juurdepääsuks üks tund ja 12 minutit.1
Lõpp-punktide ohud:
Keskmine aeg, mille jooksul ründaja hakkab teie ettevõtte võrgus külgsuunas liikuma, kui seade on ohustatud, on üks tund ja 42 minutit.1
  1. [1]

    Metoodika: Hetketõmmise andmete saamiseks esitasid Microsofti platvormid, sealhulgas Defender ja Azure Active Directory, ning meie digitaalkuritegude üksus anonüümitud andmeid ohutegevuste kohta, nagu ründemeilikontod, andmepüügimeilid ja ründajate liikumine võrkudes. Täiendavad andmed pärinevad 43 triljonist igapäevasest turbesignaalist, mida Microsoft kogub pilvkeskkondadest, lõppseadmetest, tehisintelligentsest servast ning meie turbemurdejärgse ohutustaaste ning ohutuvastuse ja -kõrvalduse töörühmade abil.

Eksperdi profiil: Emily Hacker

Ohuteabe analüütik Emily Hacker kirjeldab, kuidas tema meeskond tuleb toime muutuva lunavaraga teenusena ning milliseid meetmeid nad kasutavad, et lunavara levitajad ennetavalt tabada.

Kübersignaalid: 3. väljaanne: Arenev IoT ja risk OT-le

IoT üha suurem levik tähendab suuremat ohtu OT-le – potentsiaalseid nõrkusi on väga palju ja seadmed on ohustajatele avatud. Uurige järele, kuidas oma organisatsiooni kaitsta

Kübersignaalid: 1. väljaanne

Identiteet on uus tööpõld. Saate ülevaate arenevatest küberohtudest ja sellest, milliseid samme oma organisatsiooni paremaks kaitsmiseks ette võtta.

Jälgige Microsofti turbeteenust